前面的話
本文將詳細介紹MongoDB安全相關的內容
概述
MongoDB安全主要包括以下4個方面
1、物理隔離
系統不論設計的多么完善,在實施過程中�����,總會存在一些漏洞�����。如果能夠把不安全的使用方與MongoDB數據庫做物理上的隔離�����,即通過任何手段都不能連接到數據庫��,這是最安全的防護�����。但���,通常這是不現實的��。一些重要的數據可能會保存下來��,放置到物理隔離的機房中
2���、網絡隔離
許多公司的開發機處于內網環境中��。即使數據庫存在漏洞���,外部環境也沒有機會利用,因為根本無法訪問內網
3�����、防火墻隔離
可以利用防火墻配置IP白名單��,只允許某些IP訪問數據庫���,也可以從一定程度上增加MongoDB的安全性
4���、用戶名密碼鑒權
相對于以上3種方式,用戶名密碼鑒權機制是最常見的MongoDB安全措施��。如果密碼設置的比較簡單��,或者連接環境不是加密環境�����,很可能被第三方獲取到用戶名和密碼���,從而造成MongoDB數據庫的危險
權限認證
mongodb存儲所有的用戶信息在admin數據庫的集合system.users中��,保存用戶名��、密碼和數據庫信息�����。mongodb默認不啟用權限認證���,只要能連接到該服務器,就可連接到mongod�����。若要啟用安全認證�����,需要更改配置文件參數authorization���,也可以簡寫為auth�����。
然后���,重啟mongod��。查看日志文件�����,發現權限認證已經開啟
但是���,不使用用戶名和密碼依然可以連接到數據庫。這是因為��,我們還沒有創建用戶�����。在用戶創建���,并且開啟權限認證之后���,如果不使用用戶名和密碼將不能夠連接到數據庫
角色管理
在進行用戶管理之前,首先要先了解角色管理
MongoDB支持基于角色的訪問控制(RBAC)來管理對MongoDB系統的訪問��。一個用戶可以被授權一個或者多個:ref:角色 <roles> 以決定該用戶對數據庫資源和操作的訪問權限��。在權限以外���,用戶是無法訪問系統的
數據庫角色在創建用戶中的role參數中設置���。角色分為內建角色和自定義角色
【內建角色】
MongoDB內建角色包括以下幾類
1、數據庫用戶角色
read:允許用戶讀取指定數據庫readWrite:允許用戶讀寫指定數據庫
2��、數據庫管理員角色
dbAdmin:允許用戶進行索引創建���、刪除,查看統計或訪問system.profile�����,但沒有角色和用戶管理的權限userAdmin:提供了在當前數據庫中創建和修改角色和用戶的能力dbOwner: 提供對數據庫執行任何管理操作的能力��。這個角色組合了readWrite�����、dbAdmin和userAdmin角色授予的特權���。
3��、集群管理角色
clusterAdmin : 提供最強大的集群管理訪問�����。組合clusterManager、clusterMonitor和hostManager角色的能力��。還提供了dropDatabase操作clusterManager : 在集群上提供管理和監視操作���?�?梢栽L問配置和本地數據庫��,這些數據庫分別用于分片和復制clusterMonitor : 提供對監控工具的只讀訪問�����,例如MongoDB云管理器和Ops管理器監控代理��。hostManager : 提供監視和管理服務器的能力�����。
4�����、備份恢復角色
backup : 提供備份數據所需的能力���,使用MongoDB云管理器備份代理�����、Ops管理器備份代理或使用mongodumprestore : 提供使用mongorestore恢復數據所需的能力
5、所有數據庫角色
readAnyDatabase:只在admin數據庫中可用���,賦予用戶所有數據庫的讀權限 readWriteAnyDatabase:只在admin數據庫中可用�����,賦予用戶所有數據庫的讀寫權限 userAdminAnyDatabase:只在admin數據庫中可用�����,賦予用戶所有數據庫的userAdmin權限 dbAdminAnyDatabase:只在admin數據庫中可用�����,賦予用戶所有數據庫的dbAdmin權限��。
6���、超級用戶角色
root:提供對readWriteAnyDatabase���、dbAdminAnyDatabase��、userAdminAnyDatabase��、clusterAdmin��、restore和backup的所有資源的訪問
7���、內部角色
__system : 提供對數據庫中任何對象的任何操作的特權
【自定義角色】
除了使用內建的角色之外��,MongoDB還支持使用db.createRole()方法來自定義角色
[注意]只能在admin數據庫中創建角色��,否則會失敗
role: 自定義角色的名稱
privileges: 權限操作
roles:繼承的角色。如果沒有繼承的角色���,可以設置為空數組
use admindb.createRole( { role: "myClusterwideAdmin", privileges: [ { resource: { cluster: true }, actions: [ "addShard" ] }, { resource: { db: "config", collection: "" }, actions: [ "find", "update", "insert", "remove" ] }, { resource: { db: "users", collection: "usersCollection" }, actions: [ "update", "insert", "remove" ] }, { resource: { db: "", collection: "" }, actions: [ "find" ] } ], roles: [ { role: "read", db: "admin" } ] }, { w: "majority" , wtimeout: 5000 }) 用戶管理
【創建用戶】
使用createUser命令來創建用戶
user: 用戶名 pwd: 密碼
customData: 對用戶名密碼的說明(可選項)
roles: {role:繼承自什么角色類型,db:數據庫名稱}
db.createUser({user: "...",pwd: "...",customDate:"...",roles:[{role: "...",db: "..."}]}) 1�����、創建管理員用戶
MongoDB沒有默認管理員賬號,所以要先添加管理員賬號��。切換到admin數據庫�����,添加的賬號才是管理員賬號
在admin數據庫中�����,添加一個用戶并賦予userAdminAnyDatabase角色
db.createUser({user: "admin",pwd: "123456",roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]}) 2���、重新登錄數據庫�����,并驗證權限
如果auth()方法返回0則代表授權失敗,返回1代表授權成功
3�����、添加普通用戶
一旦經過認證的用戶管理員���,可以使用db.createUser()去創建額外的用戶。 可以分配mongodb內置的角色或用戶自定義的角色給用戶
[注意]需要在admin數據庫下進行認證��,否則認證不成功
由于該用戶只有讀權限��,所以會寫入數據失敗
4�����、創建超級用戶
【查看用戶】
【刪除用戶】
【添加用戶權限】
給在db1數據庫中只讀的x用戶,添加寫權限
【修改密碼】
以上這篇MongoDB安全及身份認證(實例講解)就是小編分享給大家的全部內容了,希望能給大家一個參考�����,也希望大家多多支持VEVB武林網���。
注:相關教程知識閱讀請移步到MongoDB頻道。
